Първи ще са банките, което гарантира защита срещу измами

Законът за електронните подписи в САЩ /The Electronic Signatures Act/, подписан от президента Клинтън на 30 юни и влязъл в сила от 1 октомври 2000 г., до този момент получи много похвали, но малко ясни и точни обяснения за приложението му. Хората знаят, че вече могат да подпишат например договор за ипотека online, но не знаят как става това на практика.

Законът не казва нищо по отношение на това как би трябвало да функционират електронните подписи на техническо ниво. Там просто се твърди, че правната ефективност не може да се отрича само защото подписът е електронен. И макар и дума да не се споменава за това как да се внедри технологията - санкцията е налице.

Някои от слабостите в текстовете на закона са сериозни. От електронните подписи не се изисква да изпълняват същите функционални цели като мастилените им роднини. Не се поставят никакви стандарти за прилаганата технология. И с редки изключения законът не санкционира уникалността на подписа, демонстрирането на волеизявлението на подписващия и логическата връзка между действието и документа по начин, който позволява да се идентифицират евентуални промени в документа след подписването му. Тази непълнота може да бъде поправена на държавно ниво, но може и да се спори, че основните изисквания трябва да бъдат написани във федерален закон.

ЗАЩИТА НА ПОТРЕБИТЕЛЯ

Определението в закона гласи, че електронният подпис е електронен звук, символ или процес, добавен или логически свързан с договор или друг документ и изпълнен или приет от лице с намерение да подпише документа. Разбира се, електронното подписване на документа имплицитно съдържа в себе си и изискването документите да са в електронна форма. Законът засяга до голяма степен електронните документи и връзката на формата с тяхната юридическа сила. Има и изчерпателни изисквания спрямо волеизявлението на потребителите. Потребителят трябва да е съгласен с използването на електронни документи и има правото да оттегли това свое съгласие. Ако има санкции за оттеглянето на съгласието, те трябва изрично да са упоменати предварително.

Освен това компанията не може да използва електронни средства, за да удовлетвори законовото изискване за предоставяне на писмена информация, ако клиентът не разполага с необходимия хардуер и софтуер или не знае как да използва компютър. Компанията /или съответното юридическо лице/ при използването на електронен документ трябва да получи явно доказателство, че потребителят има достъп до информацията в съответната електронна форма, която ще бъде използвана в споразумението. За съжаление това изискване е отслабено в други части на закона. Юридическата ефективност не може да бъде отречена само защото компанията не може да получи доказателство за достъпа на потребителя. Така че възможността потребителят да встъпи в юридически обвързващо електронно споразумение, без да разполага със средствата да прочете споразумението, съществува.

Електронните известия в САЩ са забранени при завещание, осиновяване, развод, съдебни заповеди, документи, придружаващи транспортирането на опасни материали, рекламация на продукти, отказването на услуги като водоснабдяване, електроснабдяване, отопление, отказване на здравна застраховка и застраховка Живот. Юристите ще оценят тези изключения през първите 3 г. на действие на закона, за да определят тяхната необходимост.

СТАНДАРТИ НА ПОДПИСА

Най-сериозният пропуск на Закона за електронните подписи е изискването електронните подписи да имат идентични функционални характеристики с мастилените подписи. През 1966 г. American Bar Association публикува подробен анализ на правните последици от електронните подписи с някои специфични препоръки за приложението им в Digital Signature Guideline. Документът започва с анализ на функционалните характеристики на традиционния подпис и внедряването на тези характеристики в електронния.

Юридически подписът има 4 основни цели: доказателство, церемония, одобрение и ефикасност. Уникалността на подписа е доказателство, че определеният индивид е поставил подписа си. Актът на подписването на документа - церемонията - обозначава юридическата значимост на акта; не може да се подпише нещо случайно или по принцип /като не се предприеме действие/. Подписът сам по себе си показва одобрението на подписващия на информацията в документа. И накрая, подписът демонстрира, че подписващият е прегледал и приел фактите. Това позволява ефикасна обработка и трансфер на документа.

Електронните подписи трябва да изпълняват същите цели. Всъщност те имат дори по-голям капацитет. С биометричните техники, като например динамично разпознаване на подписа, подправянето става абсолютно невъзможно. Използването на специална стойност, която служи за проверка и се калкулира от съдържанието на целия документ, може да покаже дали документът е претърпял промени след подписването. Законът няма и изискване за защитата на подписа срещу измами. В действителност всички продукти днес имат съответната степен на защита и сигурност, но компаниите, които упражняват дейността си по електронен път, може да решат да не ползват тези защитни мерки. Потребителят не може да бъде сигурен, че системата за електронни подписи, използвана от компанията, отговаря дори на минималните изисквания за защита срещу измами.

При възникване на измама потребителят е този, който ще трябва да доказва измамата, а отговорността е неограничена. Докато при разплащанията с кредитни карти спорните средства се изтеглят от сметката на потребителя, докато тече разследването, водено от издателя на картата. И таванът на отговорността при открадната карта е едва 50 USD, ако притежателят на картата съобщи за кражбата.

ТЕХНОЛОГИЯТА

Законът за електронните подписи съвсем не е първият в тази област - до неговото влизане в сила подобни закони бяха приети в доста държави и в 46 американски щата. Най-разпространената технология за електронни подписи е digital signature /виж фиг. 1/. За да се създаде дигитален подпис, съдържанието на документа се резюмира в уникална стойност, която се кодира. Дигиталният подпис - тази кодирана стойност - се прикрепя към документа и позволява да се провери дали документът е непроменен. Специалният ключ, използван за кодирането, може да определи идентичността на подписващия.

За да се направи проверка, се извършва разкодиране на подписа. Предаването на кодиращия ключ е несигурно, затова дигиталните подписи използват кодиране с двоен ключ, т. нар. public key infrastructure /PKI/ технология. PKI използва 2 ключа - личен и общодостъпен. Общодостъпният ключ се съхранява в достъпна за всеки база данни, подобна на електронен телефонен указател. Личният ключ се съхранява в компютъра на подписващия и достъпът до него е блокиран с парола. Общодостъпният ключ може да разкодира всеки документ, кодиран с личния ключ. Двата ключа са математически свързани, но личният ключ не може да се извлече от общодостъпния.

Личният ключ идентифицира подписващия и е единствено под негов контрол, ако паролата за достъп се знае само от него. Слабият елемент в дигиталните подписи е именно възможността за кражба на паролата и личния ключ - тогава "подправянето" на подписа е съвършено.

За да направи дигиталните подписи по-привлекателни, OnSign.com, собственост на Silanis Technology, разпространява безплатно софтуер, който добавя един bmp файл. Съществуват 2 версии - за Microsoft Word 97 и 2000 и за Outlook 98, Outlook 2000 и Outlook Express 5. Освен електронните подписи към документа се прикрепя и bmp файл със сканиран традиционен подпис. Ако има промени в съдържанието на документа, върху подписа се появява червено кръгче, пресечено с линия по диагонала.

ПРОГНОЗИ

Очаква се първите внедрители на технологията на електронните подписи да са банки и други финансови институции. Тъй като банките работят с документи, за които изискванията са по-строги, целта им ще бъде да използват технология, която предпазва от измами. Потребителите ще се интересуват от технологията, която им се предлага да използват, и каква е защитата срещу измами. Остава да се надяваме, че Конгресът на САЩ ще направи по-строг закона за електронните подписи, като включи необходимите стандарти за технологията. Защото в момента този, който трябва да определя дали електронната транcакция е сигурна, е потребителят.